Wenn Firmen ihren Mitarbeiterinnen und Mitarbeitern Rechner fürs mobile Arbeiten überlassen, müssen die Rechner eingerichtet werden. Mit Windows Autopilot ist das automatisiert und ohne viel manuellem Aufwand möglich.
Microsoft bietet mit Windows Autopilot eine Sammlung an Technologie, mit der neue Devices vorkonfiguriert und für den produktiven Einsatz beim Anwender vorbereitet werden können. Die (interne) IT braucht dafür das neue Gerät nicht in die Hand zu nehmen und es manuell für den Einsatz vorzubereiten. Einmal eingerichtet, läuft fast der komplette Prozess automatisiert – von der Einrichtung von Windows bis hin zur Installation von Software. Die Vorteile:
– Reduzierung der Arbeit und somit Kosten der internen IT
– Abbildung des kompletten Lebenszyklus‘ der Devices – von der Einrichtung bis zum Aussortieren, wenn die Geräte nach einigen Jahren gegen neue ausgetauscht werden.
Windows Autopilot technisch einrichten
Will man nur bestimmte Devices für Windows Autopilot konfigurieren und diese mit unterschiedlichen Profilen betanken, besteht folgendes Vorgehen:
1. Es werden verschiedene dynamische Gruppen für Devices angelegt.
2. Die Gruppen werden automatisch mit den Devices gefüllt, die über ein bestimmtes „Group Tag“ (dazu später mehr) verfügen.
Im ersten Schritt geht es um die Einrichtung (verschiedener) Bereitstellungsprofile. Mit diesen kann man beispielsweise die Out-Of-Box-Experience verändern und anpassen sowie bestimmen, ob der User auf den Devices ein lokaler Administrator werden soll.
Einstellung „Basics“:
Im ersten Schritt werden ein Name und die dazugehörige Beschreibung für das Profil vergeben. Wer alle firmeneigenen Devices für Windows Autopilot konfigurieren möchte, kann dies durch Umschalten des Buttons „Yes“ erreichen. Dabei werden jedoch nur diejenigen Devices für Autopilot registriert, die sich in der zugewiesenen Gruppe befinden. Wie sich das manuell pro Device erreichen lässt, erläutere ich später.
Einstellung „Out-of-box experience” (OOBE):
Bei diesem Schritt werden die OOB-Erfahrung und die Bereitstellung für die User angepasst. Eine weitere Möglichkeit ist, ein Device „Azure AD joined“ oder „Hybrid Azure AD joined“ zu definieren, je nach Anforderung des Unternehmens. Des Weiteren lässt sich hier die Rolle der Benutzer auf dem Device festlegen, also entweder Administrator oder Standard-User.
Einstellung „Assignments“:
In diesem Fall möchten wir beispielsweise diesem Profil nur bestimmte Device-Gruppen zuordnen. Aus diesem Grund haben wir das Profil nur den drei Gruppen zugeordnet. Mit „Review + create“ lassen sich alle Einstellungen nochmals nachverfolgen und kontrollieren.
Zuweisung der Bereitstellungsprofile
Alle Devices, die für Windows Autopilot konfiguriert wurden, befinden sich in diesem Bereich. Hier ist es möglich, den Devices beispielsweise einen „Group Tag“ zuzuweisen oder einen Namen zu vergeben. Wenn wir eine dynamische Gruppe erstellt haben, können wir diese nach dem an dieser Stelle angegebenen Group Tag befüllen.
Beispiel: Wir vergeben für Device A den Group Tag „AP-noAdmin“. Jetzt wird die dynamische AAD-Gruppe „AutoPilot – no Admin“ befüllt. Diese AAD-Gruppe ist in dem zuvor angelegten Profil hinterlegt.
Manuelles Vorbereiten eines Clients
Dafür benötigen wir zunächst ein Skript, das wir herunterladen und installieren:
PS> Install-Script -Name Upload-WindowsAutopilotDeviceInfo
Durch folgenden Befehl wird das Skript aufgerufen und alle nötigen Daten des Devices werden an Microsoft übermittelt:
PS > Upload-WindowsAutopilotDeviceInfo.ps1 -TenantName „tenant.onmicrosoft.com“ -GroupTag „GroupTAG“ -Verbose
„TenantName“ steht dabei für den Namen eures Tenants. „GroupTag“ für das Gruppieren der Devices, zum Beispiel für die Befüllung dynamischer Gruppen (siehe oben).
Das Skript wird euch nach euren Anmeldedaten für die Authentifizierung fragen. Hierbei ist es wichtig, dass der durchführende User die Rolle „Globaler Administrator“ oder „Intune Service Administrator“ innehat. Nach erfolgreicher Authentifizierung führt das Skript folgende Schritte aus:
– Erfassung des Gerätestatus: Devicehash und Seriennummer
– Importieren der Geräte-Identität nach Windows Autopilot mit der Intune Graph API
– Synchronisierung zwischen Microsoft Intune und Windows Autopilot durchführen
Zuweisung von Software und Starten von Windows Autopilot
Auch die Zuweisung der benötigten Software kann komplett automatisiert ablaufen. Hierfür erstellen wir in Microsoft Intune die benötigten Software-Pakete und weisen diese den entsprechenden Autopilot-Gruppen zu.
Windows Autopilot kann jetzt auf zweierlei Weise gestartet werden:
Wenn das Device komplett neu ist, in Windows Autopilot eingelaufen und mit einem Tag versehen, können es Anwender starten, mit dem Internet verbinden und erhalten automatisch ihr Bereitstellungsprofil plus entsprechende Software.
Wird ein älteres Device manuell hinzugefügt, kann man dieses einfach auf die Werkseinstellungen zurücksetzten und starten. Genau wie bei neuen Devices wird auch hier das konfigurierte Profil angewendet.
Bereitstellungsprofil wird automatisiert vergeben
Einige Hardware-Verkäufer nehmen an dem Programm von Microsoft teil, sodass bei der Bestellung der Devices der Azure-Tenant angegeben werden kann. Wenn nun zum Beispiel ein Laptop bestellt wird, kann dieser direkt in Windows Autopilot einlaufen. Der Admin vergibt nun einfach einen Group Tag und das Device läuft automatisiert in der richtigen Gruppe ein und bekommt sein Bereitstellungsprofil.